信息安全管理 全球最佳实务与实施指南PDF|Epub|txt|kindle电子书版本网盘下载

信息安全管理 全球最佳实务与实施指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 信息安全管理概论1

1.1什么是信息安全管理1

1.1.1信息安全2

1.1.2信息安全管理4

1.1.3信息安全管理的重要性5

1.1.4信息安全管理与信息安全技术6

1.1.5信息安全管理现状9

1.1.6信息安全管理的发展与国内外标准11

1.2信息安全管理标准BS7799概述15

1.2.1BS7799的历史15

1.2.2BS7799的内容简介17

1.2.3对BS7799的理解与认识22

1.2.4BS7799/ISO/IEC 17799在国际上的争议23

1.3组织引入BS7799的目的与模式25

1.3.1引入BS7799能给组织带来什么好处26

1.3.2组织实施BS7799的程序与模式27

1.3.3与其它ISO国际标准的有机集成28

第2章 信息安全管理理论与控制规范37

2.1基于风险评估的安全管理模型37

2.1.1安全管理模型37

2.1.2风险评估与安全管理38

2.2PDCA模型40

2.2.1PDCA简介40

2.2.2计划阶段43

2.2.3实施阶段44

2.2.4检查阶段45

2.2.5改进阶段46

2.2.6持续的过程47

2.3信息安全管理控制规范47

2.3.1信息安全方针（A.3）48

2.3.2安全组织（A.4）48

2.3.3资产分类与控制（A.5）50

2.3.4人员安全（A.6）51

2.3.5物理与环境安全（A.7）53

2.3.6通信与运营安全（A.8）55

2.3.7访问控制（A.9）59

2.3.8系统开发与维护（A.10）64

2.3.9业务持续性管理（A.11）67

2.3.10符合性（A.12）68

第3章 信息安全管理体系的策划与准备71

3.1什么是信息安全管理体系71

3.1.1信息安全管理体系的定义71

3.1.2信息安全管理体系的作用73

3.2信息安全管理体系的准备74

3.2.1管理承诺74

3.2.2组织与人员建设74

3.2.3编制工作计划76

3.2.4能力要求与教育培训81

3.3信息安全管理体系文件86

3.3.1文件的作用86

3.3.2文件的层次87

3.3.3文件的管理88

4.1建立信息安全管理体系91

第4章 信息安全管理体系的建立91

4.1.1确定信息安全政策92

4.1.2确定信息安全管理体系的范围95

4.1.3现状调查与风险评估96

4.1.4管理风险98

4.1.5选择控制目标和控制对象102

4.1.6适用性声明103

4.2信息安全管理体系的运行104

4.2.1信息安全管理体系的试运行105

4.3信息安全管理体系的审核106

4.3.1什么是信息安全审核106

4.2.2保持信息安全管理体系的持续有效106

4.3.2信息安全管理体系的审核准备109

4.3.3信息安全体系审核策划112

4.3.4实施审核118

4.3.5审核报告129

4.3.6内审中纠正措施的跟踪133

4.4信息安全管理体系的管理评审134

4.4.1什么是管理评审134

4.4.2管理评审的时机135

4.4.3管理评审计划135

4.4.4评审输入137

4.4.5召开管理评审会137

4.4.8管理评审的记录138

4.4.7管理评审的后续管理138

4.4.6评审输出138

4.5信息安全管理体系的检查与持续改进139

4.5.1对信息安全管理体系的检查139

4.5.2对信息管理体系的持续改进140

4.5.3管理不符合项的职责与要求141

第5章 信息安全管理体系的认证145

5.1什么是信息安全管理认证145

5.2认证的目的和作用145

5.3认证范围146

5.4认证条件与认证机构的选择147

5.5信息安全管理体系的认证过程149

5.5.1认证的准备149

5.5.2认证的实施150

5.5.3证书与标志154

5.5.4维持认证155

5.5.5认证案例156

第6章 信息安全风险评估详述159

6.1信息安全风险评估的基本概念159

6.1.1资产159

6.1.2资产的价值160

6.1.3威胁160

6.1.4脆弱性161

6.1.5安全风险162

6.1.6安全需求162

6.1.7安全控制163

6.1.8安全各组成因素之间的关系163

6.2.1资产的确定及估价164

6.2风险评估过程164

6.2.2威胁评估166

6.2.3脆弱性评估170

6.2.4现有的安全控制173

6.2.5风险评价173

6.3风险的管理过程175

6.3.1安全控制的识别与选择175

6.3.2降低风险176

6.3.3接受风险177

6.4风险评估方法178

6.4.1基本的风险评估178

6.4.2详细的风险评估179

6.4.4选择风险评估和风险管理方法时应考虑的因素181

6.4.3联合评估方法181

6.5风险因素的常用计算方法182

6.5.1预定义价值矩阵法182

6.5.2按风险大小对威胁排序法183

6.5.3按风险频度和危害评估资产价值法184

6.5.4区分可接受风险与不接受风险法185

6.5.5风险优先级别的确定186

6.5.6风险评估与管理工具的选择186

第7章 信息安全管理控制详述189

7.1选择控制措施方法189

7.1.1确定安全需求189

7.1.2风险评估与管理190

7.1.3选择控制目标与控制措施191

7.2.1安全需求评估192

7.2选择控制措施的详细过程192

7.2.2选择控制的方法193

7.2.3选择控制的过程195

7.3控制目标与控制措施197

7.3.1从安全需求选择控制197

7.3.2从安全问题选择控制203

7.4影响选择控制的因素和条件205

7.4.1要考虑的因素205

7.4.2限制条件206

第8章 如何制定信息安全政策与程序209

8.1为什么要制定安全政策与程序209

8.2什么是信息安全政策与程序210

8.2.1安全政策的内容210

8.2.2安全程序的内容212

8.3安全政策与程序的格式213

8.3.1安全方针的格式213

8.3.2安全策略的格式214

8.3.3程序文件的内容与格式215

8.4政策与程序的制定过程216

8.5制定政策与程序时要注意的问题219

8.5.1制定和实施信息安全政策时的注意事项219

8.5.2编写信息安全程序时的注意事项221

8.6 BS7799安全领域内有关策略与程序222

8.6.1常用信息安全策略222

8.6.2 BS7799中要求建立的程序223

8.7.1信息安全方针案例224

8.7安全政策与程序案例224

8.7.2安全策略案例231

8.7.3信息安全程序的案例235

第9章 BS7799实施工具ISMTOOL239

9.1ISMTOOL概述239

9.2ISMTOOL适用范围240

9.3ISMTOOL安装与启动241

9.4ISMTOOL的系统功能简介242

9.4.1主要模块242

9.4.2辅助模块252

第10章 BS7799实施案例257

10.1 案例一：依据BS7799建设PKI/CA认证中心257

10.1.1为什么要依据BS7799建设PKI/CA认证中心257

10.1.2如何结合BS7799建设PKI/CA认证中心258

10.1.3实施BS7799带来的效益267

10.2案例二：在IBAS公司内建立信息安全管理体系268

10.2.1企业背景268

10.2.2客户需求268

10.2.3实施过程269

10.2.4实施效果272

10.2.5经验总结273

10.3案例三：BS7799框架下安全产品与技术的具体实现273

10.3.1引言273

10.3.2 BS7799控制目标与措施274

10.3.3利用CA的产品和服务设计ISMS274

10.4.2 HTP模型281

10.4.1问题的提出281

10.4案例四：建立信息安全管理体系的HTP方法281

10.4.3建立HTP信息安全体系的步骤285

10.4.4重视信息安全中最活跃的因素——“人”291

10.4.5建立有效的“技术防火墙”293

10.4.6保证信息安全性、完整性、可用性及有效性295

10.4.7实施ISMS项目要点298

第11章 整合标准，构建善治的IT治理机制301

11.1何为IT治理302

11.2四种基本的IT治理支持手段302

11.3哪个标准更好310

11.3.1COBIT和ITIL的比较311

11.3.2 COBIT 和 ISO/IEC 17799比较311

11.3.3 COBIT和PRINCE2的比较312

11.4四个标准间的相互联系315

11.5剪裁与实施321

11.6总结322

附录A 信息安全网络资源323

A.1 BS7799相关网络资源323

A.2 国内与信息安全相关的网络资源324

A.3 国外与信息安全相关的网络资源326

附录B 信息安全相关法律法规329

B.1 国家法律329

B.2行政法规330

B.3最高人民法院的司法解释332

B.4国际公约332

B.5有关互联网法律法规、政策常用网址332